像黑客一樣的思考?黑客思維漫談
許多安全行業(yè)的資深人士都會給出這樣的建議,想要在信息安全道路上更進(jìn)一步的話,要學(xué)會像黑客那樣的思考。
的確,這個建議聽上去非常好。它聽上去十分專業(yè)和深刻,而且短小精悍適合微博轉(zhuǎn)發(fā),還可以印到T恤上彰顯個性。但如果你拿這句話去問一些安全專業(yè)人員,它的含義到底是什么?答案可能五花八門。人們對黑客及黑客的想法有著各自的理解,換句話說吧,從傳統(tǒng)意義上講,有大量的安全從業(yè)人員從未做過黑客。
說起來容易,做起來難
“像黑客一樣的思考”的確讓人意識到安全是一種專業(yè)技術(shù),但如果你不是一名黑客,也許你永遠(yuǎn)也不能“像黑客那樣的思考”。舉個例子:
車禍現(xiàn)場,受傷者躺在地上血流如注,肋骨從胸膛可怕的戳出。這時,有人對你說:別怕,要像“醫(yī)生一樣的思考”。如果你不是醫(yī)生,這句話有意義嗎?
當(dāng)然,非黑即白的思維方式是不可取的。不是外科醫(yī)生的話,藥劑師或護(hù)士也會有所幫助,而一個專業(yè)急救人員,更是可以現(xiàn)場“救火”的最佳選擇。因此問題來了,到底什么是黑客?黑客思維又是指什么?
黑客思維
許多媒體對黑客的概念局限于網(wǎng)絡(luò)騙子、小偷、敲詐者等網(wǎng)絡(luò)罪犯,或是迷途的不良少年。但許多真正理解黑客文化的人士認(rèn)為,黑客無論其本意還是其蘊(yùn)含的內(nèi)在精神,更接近于那些擁有創(chuàng)造力的頭腦的人,而不是以違法屬性來定義的壞蛋。
記得在去年的網(wǎng)絡(luò)安全大會上,知道創(chuàng)業(yè)的技術(shù)副總余弦說道:“其實(shí)本質(zhì)上都是為了能夠解決問題的一種思維方式,一種補(bǔ)充思維方式,不是那么板板正正的,而是有其他解決問題的方式去實(shí)現(xiàn)目的。”
國外的安全專業(yè)人員分別有著類似的看法:
“擁有解決問題或難題的能力和愿望,好奇心,享受挑戰(zhàn),不想被規(guī)則限制,尋找打敗規(guī)則的辦法,更高深的黑客則傾向于以系統(tǒng)的觀點(diǎn)看待整個社會。”安全顧問杰西卡·巴克洛博士
“有兩點(diǎn):一是試圖找出任何事物能夠被利用的辦法,但這種辦法不是這種事物本來的使用目的;二是假定任何系統(tǒng)都可以被入侵,基于這種假定,來推算出會發(fā)生什么,恢復(fù)計劃是什么,隔離方案是什么,該找誰等等。”--白帽子安全實(shí)驗室副主管羅伯特·漢森
“我更愿意把黑客稱做攻擊者。如果你無法寄更多的希望在防護(hù)上,那么就需要了解攻擊者的思想,理解他們的動機(jī),他們攻擊的手段、攻擊的時間以及攻擊的形式,這樣才能兵來將擋、水來士淹。不站在攻擊者的立場思考的話,將是一個最大的錯誤。”--佳能歐洲信息安全主管奎特恩·泰勒
杰西卡·巴克洛博士
(ISC)2董事會主席威姆·瑞姆斯則表達(dá)了更為詳細(xì)的看法:“具備理解、分析和解決難題的能力,并能跳出常規(guī)思維模式,從非常規(guī)的角度考慮問題,想常人所不能想,做常人所不能做。并不只是解決技術(shù)問題,包括業(yè)務(wù)問題,甚至是生活問題。安全專業(yè)人員更象是工程師,被各種條件所限制。人力、資金、時間、規(guī)定、決策等等。只有那些具備黑客思維和業(yè)務(wù)敏感的安全人員,才能夠做到正確的安全防護(hù)。”
這些觀點(diǎn)闡明了黑客思維,并引出黑客思維在保護(hù)機(jī)構(gòu)業(yè)務(wù)中的關(guān)鍵作用。
在企業(yè)或說機(jī)構(gòu)中,有一種普遍的錯誤觀念,業(yè)務(wù)部門與IT部門是兩個完全不同的概念。但實(shí)際上,隨著數(shù)字空間全面滲入人類的生活,機(jī)構(gòu)的業(yè)務(wù)與安全處處存在交叉。想要做好安全工作,就需要用系統(tǒng)的觀點(diǎn)進(jìn)行全盤考慮,理解業(yè)務(wù)的管理和運(yùn)營,核心價值在何處,關(guān)鍵資產(chǎn)是什么,系統(tǒng)弱點(diǎn)在哪里,它能被怎樣的利用和如何去保護(hù)。安全人員不考慮到這些,則幾乎無法抵擋得住黑客的攻擊。
試想,如果一個安全人員連自己公司的業(yè)務(wù)都不了解,又怎能希望他很好去保護(hù)它呢?
黑客與自由
誠然,黑客與安全人員有著很大的區(qū)別。前者非常獨(dú)立,總是一個人在不分晝夜的編寫代碼,測試程序,尋找機(jī)會,追逐利益,甚至任性妄為。而后者則是團(tuán)隊的一份子,有著各種規(guī)定或紀(jì)律的約束,包括資源使用,部門配合,公司政策等。一個從安全角度考慮的想法,即使再優(yōu)秀再完備,也不得不讓位于產(chǎn)品研發(fā),市場推廣,戰(zhàn)略架構(gòu)……
作為安全從業(yè)人員有著太多的束縛,很難跟的上哪些憑著自己的興趣和激情自由發(fā)揮,并將自己的想法付諸于行動的優(yōu)秀黑客們。
就在近期國內(nèi)首次舉辦的蘋果系統(tǒng)越獄黑客大會上,被全球越獄粉絲視作“大神”級的Comex,在回答安全牛記者的提問時承認(rèn),自從進(jìn)入蘋果公司工作后,給追求自由和探索欲望的黑客精神帶來限制,并對個人的技術(shù)能力進(jìn)步有所阻礙。而安全牛就此進(jìn)一步發(fā)問時,Comex選擇了拒絕回答。
越獄大會上的Comex
談到這里,似乎有些無奈。黑客思維只能停留在安全人員的口頭上嗎?
鳥群的安全機(jī)制
有人曾舉出一個鳥群自我保護(hù)機(jī)制的例子。鳥類有著許多天敵,除了能夠飛翔以外,它們又是如何避免成為捕食者的口中的美味呢?簡單的很,當(dāng)有危險接近任何一只鳥時,這只鳥會向其他伙伴發(fā)出警報,從而避免傷害擴(kuò)大。
同樣,安全從業(yè)者也可以學(xué)習(xí)鳥群的這種警報信息共享的保護(hù)機(jī)制,共同檢測并防止危險的擴(kuò)大。許多人已經(jīng)明白,這里談的是威脅情報。
威脅情報共享機(jī)制目前已經(jīng)成為安全生態(tài)系統(tǒng)中的重要一環(huán)。
像黑客那樣的攻擊?
還有一些安全圈子的人士認(rèn)為,只有參與到黑客攻擊的活動中,才能真正的像攻擊者一樣地思考,并從活動中取得第一手經(jīng)驗,從而更好的實(shí)施防御和保護(hù)工作。未知攻,焉知防!但這種模式的問題在于,真正的攻擊會帶來負(fù)面影響,其程度有可能超過正面的意義。而且,這種想法的邏輯上也容易遭到詬病。
比如,刑偵人員需要做過罪犯才能理解罪犯的思維模式并破案嗎?同理,你能為了做好安全工作的目的而跑去入侵別人的網(wǎng)站嗎?如果回答是肯定的,那你就要小心了。這種行為毫無疑問是惡意的,未經(jīng)事主允許則是違法的。
至此,似乎又到了兩難的地步。像黑客那樣的思維需要做個黑客(如同像醫(yī)生那樣的思維就要從事醫(yī)生的工作),而做一個真正的黑客則意味著付諸于一定的黑客行動,否則豈不是紙上談兵?
一種解決方案
在信息安全培訓(xùn)中,經(jīng)常會有一些模擬仿真類的課程學(xué)習(xí)。這種實(shí)戰(zhàn)性質(zhì)的教學(xué)環(huán)境,保證了學(xué)員不用參與任何有嫌疑的非法活動,就能將所學(xué)到的各種原理應(yīng)用到日常工作當(dāng)中。
“每堂課后,講師都會留下各種作業(yè)讓學(xué)員攻擊訓(xùn)練營建立的測試網(wǎng)站,包括密碼破解、漏洞掃描、SQL注入、代碼分析等。”--星火計劃:互聯(lián)網(wǎng)安全人才訓(xùn)練營課程經(jīng)理趙毅
近年來逐漸流行的各種攻防奪旗(CTF)賽事也是一個非常不錯的黑客技術(shù)模擬仿真平臺。中國的參賽隊伍已經(jīng)在國際CTF賽事上取得了不俗的成績,同時國內(nèi)的網(wǎng)絡(luò)安全技術(shù)對抗聯(lián)賽XCTF也正在如火如荼中。其中,剛剛落下帷幕的北京選拔賽,共吸引89個國家和地區(qū)的1770支戰(zhàn)隊、近4000位選手報名參賽。
另一種解決方案
在管理人員的許可下,安全人員對內(nèi)部系統(tǒng)實(shí)施的入侵活動,稱為滲透測試。它本身并不是一種非常前沿的安全檢測手段,但目前滲透測試已經(jīng)從內(nèi)部發(fā)展到外部,從個人測試發(fā)展到小組甚至是群體測試,并形成了一種新興的安全業(yè)務(wù)市場--漏洞眾測。
漏洞眾測的好處是擺脫了內(nèi)部和單一人員的局限性,在保障受測方安全的情況下,由優(yōu)秀的白帽子黑客群體進(jìn)行滲透測試,從而盡可能地從最真實(shí)的場景中,集群體專業(yè)人員的合力找到系統(tǒng)漏洞。優(yōu)秀意味著尋找與挖掘漏洞的質(zhì)量和深度,受到信任則是確保客戶的秘密不會被利用和公開。
烏云網(wǎng)創(chuàng)始人方小頓曾表示,漏洞眾測的興趣極大的改觀了過去企業(yè)與白帽黑客之間的冷戰(zhàn)態(tài)度,幫助了企業(yè)更好的防護(hù)惡意黑客的攻擊。這意味著企業(yè)安全觀更加成熟,“對整個安全行業(yè)都是好事”。
原文地址:http://www.aqniu.com/neo-points/7246.html
